Go to Top

Data Breach und E-Crime – welche Konsequenzen entstehen für Unternehmen?

Data Breach

Ein Data Breach beziehungsweise eine Verletzung der Datensicherheit und des -schutzes ist ein Vorfall, in welchem sensitive, geschützte oder vertrauliche Daten widerrechtlich eingesehen, gestohlen oder von unbefugten Dritten verwendet werden. Diese Form der Kriminalität kann sowohl zu einer Schädigung von Sachwerten, zum Beispiel durch Sabotage an Computersystemen, als auch zur Verletzung von Verfügungsrechten an immateriellen Gütern, etwa durch Diebstahl von Quellcodes, Kundendaten oder anderen Informationen, führen. Außerdem können die auf den Systemen basierenden Geschäftsprozesse eines Unternehmens empfindlich beeinträchtigt werden. Das häufigste Szenario für einen Daten-Klau ist eine Hacker-Attacke, die in ein Unternehmens-Netzwerk eindringt.

Die bereits seit zehn Jahren laufende Data Breach Investigations Studie von Verizon gibt Einblick in die steigende Anzahl der Cyberattacken auf Unternehmen, Organisationen und Regierungen. Sie bietet konkrete Zahlen und legt offen, welche Kosten ein Datendiebstahl verursachen kann. Im letzten Jahr wurden 80.000 Sicherheits-Vorfälle in 61 Ländern registriert, in 2100 Fällen handelte es sich dabei um bestätigte Angriffe von Cyber-Kriminellen. Im Vergleich zum Vorjahr bedeutet das bei den erfolgreichen Angriffen einen Anstieg um 55 Prozent, wobei die Gesamtanzahl der Fälle um 26 Prozent angestiegen ist.

Die häufigsten Arten von Cyberangriffen
Über 90 Prozent aller Angriffe durch Hacker geschehen nach folgenden Mustern:

  • Fehlerhaftes menschliches Verhalten, z.B. das Senden einer E-Mail an den falschen Empfänger
  • Angriffe auf Web-Anwendungen
  • Crimeware (verschiedene Malware versucht, die Kontrolle über ein System zu erlangen)
  • Missbrauch der Daten von Insidern
  • Physikalischer Diebstahl oder Datenverlust
  • Denial of Service-Angriffe
  • Cyberspionage
  • Angriffe auf den Point of Sales
  • Skimming von Zahlungsdaten: also das illegale Ausspähen von Kreditkaten oder -karten

Datendiebstahl & Phishing weiterhin beliebt bei Hackern

Bei Angriffen von Hackern auf Unternehmen, die den Diebstahl von vertraulichen Daten zur Folge hatten, setzten die Angreifer auf Schwachstellen in Web-Applikationen. Die Zugangsdaten zur Software wurden von den Cyber-Kriminellen zuvor gestohlen – oft greifen die Hacker dabei auf Phishing-Methoden zurück. Der Datendiebstahl durch Phishing-Attacken ist bei Hackern weiterhin beliebt – und erfolgreich, allerdings werden sie heute geschickt miteinander kombiniert. Laut der Studie ist bei groß angelegten Phishing-Kampagnen per E-Mail damit zu rechnen, dass 23 Prozent der Empfänger die Nachricht lesen und immerhin noch 11 Prozent dieser Nutzer auch noch die Anlage öffnen. Besonders erfolgreich ist Phishing offenbar in Kommunikations-, Rechts- und Kundenservice-Abteilungen von Unternehmen. Eben dort, wo generell viel mit E-Mail-Anhängen gearbeitet wird. Auch die Zahl der Insider-Angriffe nehme gegenüber der der externen Attacken weiter zu – insbesondere im Hinblick auf den Diebstahl geistigen Eigentums.

Welche e-crime Delikte kommen am häufigsten vor?

Eine Studie der KPMG beleuchtet das Thema Computerkriminalität in der Wirtschaft. Gegenüber der Vorstudie aus dem Jahr 2013 wurden die Befragten wesentlich häufiger Opfer von e-Crime. In den vergangenen zwei Jahren waren 40 Prozent der Unternehmen betroffen, 2013 lediglich 27 Prozent. Das entspricht einem Zuwachs von 50 Prozent. Besonders oft müssen sich Finanzdienstleister mit e-Crime auseinandersetzen. Vertreter dieser Branche erklärten zu 55 Prozent, angegriffen worden zu sein. Bei Dienstleistern außerhalb des Finanzsegments waren es lediglich 33 Prozent. Finanzdienstleister erweisen sich damit als besonders attraktiv für potenzielle Täter. Die am häufigsten in der KPMG-Studie identifizierten Deliktarten sind folgende:

Computerbetrug

Betrügerische Handlungen unter Ausnutzung von Kommunikations- und Informationstechnologien und anhand der Manipulation von Datenverarbeitungssystemen beziehungsweise -prozessen.

Ausspähen oder Abfangen von Daten

Unberechtigtes Aufzeichnen, Mithören oder Mitlesen von Daten (zum Beispiel E-Mail-Versand, Instant Messaging, Netzwerkverkehr, IP-Telefonie), die sich gerade in der Übermittlung befinden, aber auch von „natürlichen“ Gesprächen über technische Hilfsmittel.

Manipulation von Konto- und Finanzdaten

Unberechtigte Veränderung von Konto- und Finanzdaten in Buchhaltungs- oder Zahlungssystemen.

Datendiebstahl

Unberechtigte Aneignung von Daten.

Verletzung von Urheberrechten

Verstoß gegen die Verwertungsrechte von urheberrechtlich geschützten elektronischen Daten (zum Beispiel Erstellung einer rechtswidrigen Kopie und Verwendung von Softwareprogrammen oder Inhalten audiovisueller Medien).

Verletzung von Geschäfts- oder Betriebsgeheimnissen

Unbefugte Aneignung und Weitergabe von vertraulichen oder geheimen Informationen des Unternehmens oder auch von Geschäftspartnern unter Nutzung von Kommunikations- und Informationstechnologien.

Systembeschädigungen oder Computersabotage

Störung von Datenverarbeitungsprozessen, beispielsweise durch Beschädigung oder Manipulation von Computern, Netzwerken oder Datenträgern.

Erpressung

Erpressung unter Androhung von e-Crime-Handlungen.

Fazit

Die Themen Data Breach und e-Crime sind schon im Bewusstsein der Unternehmen und Anwender angekommen. Die meisten Befragten dieser Studien haben sich aber noch nicht ausreichend mit diesen Themen befasst. Unsicherheiten bestehen auch in Bezug auf die Anforderungen in Bezug auf Kosten und bürokratischen Aufwand der gesetzlichen Veränderungen im IT-Sicherheitsbereich. Eine Zielsetzung für Unternehmen sollte dabei sein, ein akzeptables Verhältnis zwischen Investitionen in die Prävention und Detektion sowie Reaktion auf Data Breach und Cyberattacken einerseits und nicht vermeidbaren Schäden andererseits herzustellen. Profunde Kenntnis der jeweiligen Risikodisposition der Unternehmen und die Abschätzung der Möglichkeiten zur Erstellung eines vernünftigen Maßnahmenkatalogs sollten im Vordergrund stehen.

Bildquelle: Cristine Lietz/pixelio.de